Rubber Ducky

Eén van de coolste dingen die ik bij het security gilde heb gedaan is helpen bij een social-engineering opdracht. Mijn doel was om een USB stickje, ook wel een Rubber Ducky genoemd, in een laptop van een medewerker op locatie te pluggen. Met kloppend hart ging ik de organisatie naar binnen en speelde ik mijn rol. Ik hoopte van harte dat ik geen dingen zou zeggen waardoor ik argwaan zou wekken. “Ja hoor, geen enkel probleem, ik ga even voor u kijken!” Met een glimlach werd mijn verzoek om de USB op de laptop van de medewerker te openen aangenomen en op pad ging mijn USB stick. “Sorry meneer, we hebben een soort van virus bescherming op onze laptops staan waardoor we geen onbekende USB zo maar kunnen gebruiken. Maar, ik ga even voor u rondvragen, misschien dat er een manier om die beveiliging heen is.” Een paar minuten later kwam de medewerker terug, zonder resultaat; het bleek toch niet mogelijk.

Of het USB’tje ook daadwerkelijk een laptop in is gegaan weet ik niet 100% zeker. Ik vond het wel erg opmerkelijk dat het zo makkelijk ging.

Ik trok uit deze ervaring twee conclusies:

• Social engineering is super spannend en tof!
• Een USB stick en behulpzame medewerker is een interessante combinatie.

Met de eerste conclusie zal ik je niet lastig vallen. De tweede conclusie is wel een stuk interessanter voor de ICT-nerds. Hoeveel is nodig om zelf een “gevaarlijke” USB stick te maken? Deze USB sticks worden tijdens de Ceritified Etical Hacker training behandeld en daar wordt verteld dat je die niet zomaar zelf kan maken. Maar wat als je het toch zelf wil proberen of wat als je te gierig bent voor zo’n plug-and-play tooltje en in plaats daarvan zelf wilt knutselen?

Antwoord: het is super gemakkelijk om je eigen Rubber Ducky te maken! Met een Raspberry Pi, wat google zoekopdrachten en een middagje vrije tijd heb je in een mum van tijd je eigen Rubber Ducky. In een paar uur kon ik een programma laten openen op de computer waar de Rubber Ducky ingeplugd was. Nog een paar uur later kon ik via Wi-Fi een computer binnendringen en zelf scriptjes uitvoeren zonder dat de Rubber Ducky daadwerkelijk meer ingeplugd hoefde te zijn.

Nogmaals, dit is niet een blog om je op het idee te brengen om zelf een Rubber Duckies te maken. Het is bedoeld om inzicht te geven in hoe gemakkelijk het is om een tooltje te maken die schadelijk kan zijn voor je computer. Dit allemaal met wat basiskennis en vrije tijd. Dus hoe goed een organisatie zichzelf ook beschermt, door firewalls, veilige code en een prima wachtwoord protocol,  met behulp van één werknemer die besluit een Rubber Ducky USB in zijn laptop te steken is al die security moeite teniet gedaan. Boem! Het hele systeem waar maanden aan is gewerkt, naar de grootjes.

Natuurlijk kun je jezelf hier tot op zekere hoogte tegen verdedigen. Als je daar meer over wilt weten staat het Security Gilde van KZA altijd voor je klaar om oplossingen te bieden.

Disclaimer: deze blog is puur ter lering en vermaak geschreven, niet ter inspiratie voor malafide praktijken.